Golang每日一库之bcrypt

本文

官方文档： https://pkg.go.dev/golang.org/x/crypto/bcrypt

前言

之前讲过JWT Token https://www.cnblogs.com/zichliang/p/17303759.html JWT呢是信息是经过数字签名的，因此可以被验证和信任。
然后今天就来说说密码学，我们在做鉴权 做用户处理时 会把密码存储到数据库中，但是这个密码我们肯定不能明文去存储，如果这个数据库链接一旦被别人拿到
那后果是不堪设想的。不仅仅是为了防止系统管理员或者DBA等公司人员获得用户的密码，也是防止被黑客拖库产生更大的信息泄露。
如果黑客通过不法手段获取了服务的数据库存储信息，盗取里面的内容，从而直接获得明文密码，那么影响就会很大。
所以我们的密码一般通过几种方式去加密存储

是用于加密散列函数逆运算的预先计算好的表，常用于破解加密过的密码散列（维基百科）

bcrypt

概述

bcrypt是一个由美国计算机科学家尼尔斯·普罗沃斯（Niels Provos）以及大卫·马齐耶（David Mazières）根据Blowfish加密算法所设计的密码散列函数，于1999年在USENIX中展示[1]。实现中bcrypt会使用一个加盐的流程以防御彩虹表攻击，同时bcrypt还是适应性函数，它可以借由增加迭代之次数来抵御日益增进的电脑运算能力透过暴力法破解。

由bcrypt加密的文件可在所有支持的操作系统和处理器上进行转移。它的口令必须是8至56个字符，并将在内部被转化为448位的密钥。然而，所提供的所有字符都具有十分重要的意义。密码越强大，数据就越安全。

除了对数据进行加密，默认情况下，bcrypt在删除数据之前将使用随机数据三次覆盖原始输入文件，以阻挠可能会获得计算机数据的人恢复数据的尝试。如果您不想使用此功能，可设置禁用此功能。

具体来说，bcrypt使用美国密码学家保罗·柯切尔的算法实现。随bcrypt一起发布的源代码对原始版本作了略微改动。

以上内容来自于wiki维基百科 >>>> https://zh.wikipedia.org/wiki/Bcrypt

bcrypt基本介绍

bcryptmd5

Bcrypt生成的密文是60位的。而MD5的是32位的。
总的来说，BCrypt比MD5更安全，但加密更慢。
各有优缺点吧。

这里推荐个网站可以完成 bcrypt的加密 我们来尝尝鲜。

https://www.bejson.com/encrypt/bcrpyt_encode/

安装

这里找遍了全网好像也没找到github地址。并且也没有什么安装的教程。

go get -u golang.org/x/crypto/bcrypt

cost常量分类

const (
	MinCost     int = 4  // 传递给GenerateFromPassword的最小允许开销
	MaxCost     int = 31 // 传递给GenerateFromPassword的最大允许开销
	DefaultCost int = 10 // 如果将低于MinCost的cost传递给GenerateFromPassword，则实际设置的cost
)

使用

这里我们直接看官方写好的测试用例，可能需要 ...(你懂的)
https://cs.opensource.google/go/x/crypto/+/refs/tags/v0.8.0:bcrypt/bcrypt_test.go

GenerateFromPassword 生成一个hash密码

GenerateFromPassword以给定的代价返回密码的bcrypt散列。如果给定的cost小于MinCost，则该cost将被设置为DefaultCost。
GenerateFromPassword不接受长度超过72字节的密码，这是bcrypt操作的最长密码

password, _ := bcrypt.GenerateFromPassword([]byte("123"), bcrypt.DefaultCost)
fmt.Println(string(password))

结果如下
第一次

$2a(10)SNRLHrG.ExJHKfR8LihSLOqAJOu/hCpP0ARhwoKvsduxv5xMXkl4u
第二次
$2a(10)Np1EBVQ9DZXMvIUkT7Y2P.cA0psEmW2SAVJYcCDqDDN8TsASo7aZm

注： 每次结果都不一样 因为这不是MD5加密，会通过加盐来完成不可逆的加密

Cost方法 返回给定的cost

Cost返回用于创建给定散列密码的散列成本。将来，当密码系统的哈希成本需要增加以适应更大的计算能力时，这个功能允许人们确定需要更新哪些密码。
简单来说 返回上文的 bcrypt.DefaultCost

cost, _ := bcrypt.Cost([]byte("$2a$10$XgLBtSfJsrBd.liLOYWddOYWYWboBUAlKmivcSwq647C3vTNUOVMO"))
fmt.Println(cost)

结果如下

10

CompareHashAndPassword 对比明文密码和散列密码

CompareHashAndPassword，将返回的散列密码与其明文版本进行比较。

password, _ := bcrypt.GenerateFromPassword([]byte("123"), bcrypt.DefaultCost)
fmt.Println(string(password))

// 可以解析出上文
cost, _ := bcrypt.Cost([]byte("$2a$10$XgLBtSfJsrBd.liLOYWddOYWYWboBUAlKmivcSwq647C3vTNUOVMO"))
fmt.Println(cost)

err := bcrypt.CompareHashAndPassword(password, []byte("123"))
if err != nil {
	fmt.Println("密码验证错误", err)
}
fmt.Println("密码验证成功>>>", nil)

结果

$2a(10)ANuBn8FthHbgfYir4v65AOvdtqoR3xjZ0G8duN5ynH1Vm0h3yUF/G
10
密码验证成功>>>

bcrypt某些错误类型

• type HashVersionTooNewError byte

使用 创建哈希时从 CompareHashAndPassword 返回的错误 比此实现更新的 bcrypt 算法。
func (hv HashVersionTooNewError) Error() string 调用error返回字符串

• type InvalidCostError int

类型 无效cost错误
func (ic InvalidCostError) Error() string 调用error返回字符串

• type InvalidHashPrefixError byte

类型无效哈希前缀错误
当哈希以“$”以外的内容开头时，从 CompareHashAndPassword 返回的错误
func (ih InvalidHashPrefixError) Error() string 调用error返回字符串

本文